CVE-2022-1901

MITJÀ: (5.3)

CVSS3: 4.6

Octopus Deploy podria permetre a un atacant remot obtenir informació sensible, causada per la visualització d’un valor de variable sensible en la Vista Prèvia de la Variable. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per aconseguir informació sensible, i utilitzar aquesta informació per a llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• Octopus Deploy Octopus Deploy 0
• Octopus Deploy Octopus Deploy 1
• Octopus Deploy Octopus Deploy 2
• Octopus Deploy Octopus Deploy 3
• Octopus Deploy Octopus Deploy 4
• Octopus Deploy Octopus Deploy 2018
• Octopus Deploy Octopus Deploy 2019
• Octopus Deploy Octopus Deploy 2020
• Octopus Deploy Octopus Deploy 2021
• Octopus Deploy Octopus Deploy 2022.1
• Octopus Deploy Octopus Deploy 2022.2
• Octopus Deploy Octopus Deploy 2022.3

Remediació
Consulti l’avís de seguretat 2022-09 d’Octopus per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://advisories.octopus.com/post/2022/sa2022-09/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1901